Microsoft Entra Design permet aux utilisateurs invités de prendre le contrôle d'Azure, selon les chercheurs

Les chercheurs en cybersécurité de BeyondTrust alertent sur un problème peu connu, mais dangereux, au sein de la plateforme d'identité Entra de Microsoft . Il ne s'agit pas d'un bug caché ni d'une vulnérabilité négligée ; il s'agit d'une fonctionnalité, intégrée au système dès sa conception, que les attaquants peuvent exploiter.

Le problème est que les utilisateurs invités dans le locataire Azure d'une organisation peuvent créer et transférer des abonnements au sein de ce locataire sans y disposer de privilèges d'administrateur directs. Ce faisant, ils obtiennent des droits de « Propriétaire » sur cet abonnement, ouvrant ainsi la voie à des opportunités d'attaque surprenantes que de nombreux administrateurs Azure n'auraient peut-être jamais envisagées.

Les organisations invitent fréquemment des partenaires ou collaborateurs externes dans leurs environnements Azure en tant qu'« utilisateurs invités ». Ces invités bénéficient généralement d'un accès limité afin d'éviter tout dommage en cas de compromission de leurs comptes. Cependant, les conclusions de BeyondTrust, partagées avec Hackread.com, révèlent que, sous certaines conditions, ces invités peuvent activer des abonnements Azure complets au sein du locataire hôte, même sans autorisations explicites dans cet environnement.

Comment ? Tout dépend des autorisations de facturation de Microsoft. Si l'invité dispose de rôles de facturation spécifiques dans son locataire d'origine (par exemple, s'il a créé un compte d'essai gratuit), il peut utiliser cette autorité pour créer des abonnements et les transférer vers tout autre locataire auquel il est invité. Ce faisant, il devient de fait « propriétaire » de ces abonnements et bénéficie d'un contrôle étendu sur les ressources du locataire ciblé.

Microsoft a confirmé qu'il s'agissait d'un comportement intentionnel, soulignant que ces abonnements restent sur la facture du client et que des contrôles existants (mais non par défaut) empêchent ces transferts. Néanmoins, les implications en matière de sécurité sont importantes.

Une fois qu'un invité devient propriétaire d'abonnement au sein de votre locataire Azure, il débloque plusieurs fonctionnalités avancées, notamment l'identification du véritable responsable, la désactivation de la surveillance de sécurité, la création de portes dérobées persistantes et l'abus de confiance des appareils.

Ces chemins d'attaque existent parce que les rôles de facturation et les autorisations de ressources fonctionnent sur des pistes distinctes, créant un chevauchement qui n'est pas couvert par les modèles classiques de contrôle d'accès basé sur les rôles (RBAC).

Les chercheurs de BeyondTrust ont démontré comment un attaquant pouvait exploiter ce problème en pratique. Il pouvait commencer par configurer son propre locataire Azure grâce à un essai gratuit, lui donnant ainsi automatiquement le droit de facturation.

Une fois invité dans un locataire cible, il peut se connecter au portail Azure et créer un nouvel abonnement via les paramètres avancés, en sélectionnant le locataire cible comme destination. Sans avoir besoin de l'approbation de l'administrateur de ce locataire, l'attaquant obtient un accès propriétaire complet au nouvel abonnement, ouvrant ainsi la voie à des techniques d'abus de privilèges.

« La fonctionnalité créée par Microsoft est pertinente : certaines organisations ont de nombreux locataires, et il existe des cas où les utilisateurs d'un répertoire personnel doivent créer des abonnements dans d'autres, où ils sont simplement invités. Le problème réside dans le comportement par défaut : si cette fonctionnalité était facultative, ce qui signifie que les invités ne pouvaient pas créer d'abonnements par défaut, le risque serait considérablement réduit et cela ne poserait pas de problème de sécurité. »

Simon Maxwell-Stewart, ingénieur de données senior – BeyondTrust

Microsoft a indiqué qu'il s'agissait d'un comportement intentionnel, destiné à prendre en charge les configurations multi-locataires complexes où les invités doivent parfois créer des ressources. Microsoft propose des politiques d'abonnement permettant de bloquer ces transferts, mais ces contrôles sont désactivés par défaut.

Pour les équipes de cybersécurité, cela signifie que le risque reste actif jusqu'à ce qu'elles prennent des mesures concrètes. BeyondTrust recommande plusieurs mesures clés pour réduire l'exposition, notamment l'activation de politiques d'abonnement bloquant les transferts effectués par les invités, l'audit régulier des comptes invités et la suppression de ceux qui sont inutilisés ou inutiles.

Pour empêcher les attaquants d'utiliser des machines virtuelles ou des périphériques pour d'autres attaques, surveillez de près les abonnements pour détecter les ressources inhabituelles ou inattendues créées par les invités et examinez attentivement les règles de groupe dynamique et les politiques de confiance des périphériques.